REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » Rozporządzenie DORA - co to jest i kogo dotyczy? [PRZEWODNIK]

Rozporządzenie DORA - co to jest i kogo dotyczy? [PRZEWODNIK]

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
31 marca 2025, 12:10
Emilia Panufnik
oprac. Emilia Panufnik
dora rozporządzenie co to ogo dotyczy odporność operacyjna cyberbezpieczeństwo
DORA rozporządzenie - co to, kogo dotyczy, odporność operacyjna, cyberbezpieczeństwo w UE
shutterstock

REKLAMA

REKLAMA

Czego dotyczy unijne rozporządzenie DORA? Wprowadza nowe pojęcia i wymagania dotyczące cyberbezpieczeństwa w sektorze finansowym. Prezentujemy przewodnik po DORA z wyjaśnieniem trudnych pojęć dla dostawców usług ICT.
rozwiń >

Przewodnik po DORA

Unijne rozporządzenie DORA, czyli akt dotyczący operacyjnej odporności cyfrowej sektora finansowego, wprowadza nowe pojęcia i wymagania dotyczące cyberbezpieczeństwa w sektorze finansowym. Dotyczy nie tylko banków, ubezpieczycieli i instytucji płatniczych, ale także pośrednio dostawców usług ICT, którzy z nimi współpracują. Jeśli prowadzisz firmę zajmującą się IT, warto sprawdzić, czy DORA, która w Polsce obowiązuje od stycznia 2025 roku, dotyczy również Twojej organizacji, a jeśli tak – jakie jej pojęcia warto znać. Oto krótki przewodnik po najważniejszych terminach.

REKLAMA

Katarzyna Armińska-Waszczyk

Katarzyna Armińska-Waszczyk, radca prawny

Katarzyna Armińska-Waszczyk, radca prawny

Źródło zewnętrzne

DORA - co to jest?

DORA (skrót od Digital Operational Resilience Act) to unijne rozporządzenie, za pomocą którego Unia Europejska chce zwiększyć odporność cyfrową całego sektora finansowego. Finanse i system finansowy to filary wolności i niezależności Europejczyków, dlatego zagadnienia cyberbezpieczeństwa należą do najważniejszych tematów na unijnej agendzie ustawodawczej. Dzięki rozwiązaniom wprowadzonym przez DORA, instytucje finansowe będą mogły skutecznie przeciwdziałać cyberatakom, szybko reagować na incydenty i minimalizować ryzyko związane z usługami ICT.

Odporność operacyjna

To kluczowe pojęcie w DORA. Oznacza zdolność organizacji do zapobiegania incydentom cybernetycznym, reagowania na nie i odbudowywania się po nich. Firmy finansowe muszą wdrożyć wzmocnione procedury zarządzania ryzykiem ICT. W razie cyberataku muszą szybko przywrócić normalne działanie systemów, ale także już wcześniej przygotować się tak, aby cyberataki nie wywoływały nieodwracalnych szkód w ich systemach. W ten sposób pieniądze klientów instytucji finansowych oraz cały system finansowy będzie lepiej chroniony przed współczesnymi zagrożeniami.

Usługi ICT (Information and Communication Technology, czyli technologie informacyjno-komunikacyjne)

Usługi ICT to wszelkie rozwiązania technologiczne, które wspierają działanie instytucji finansowych. Obejmują m.in.:

  • usługi przetwarzania danych w chmurze,
  • systemy zarządzania bezpieczeństwem informacji,
  • usługi cyberbezpieczeństwa,
  • outsourcing IT,
  • zarządzanie sieciami i infrastrukturą IT.

- Choć formalnie podmiotami zobowiązanymi z rozporządzenia DORA są instytucje finansowe, to na zasadzie kaskady odpowiedzialności będą one wymagać spełnienia wymagań od swoich dostawców usług ICT. Po to, aby same mogły wykazać się zgodnością z rozporządzeniem. Zatem jeśli firma z obszaru ICT dostarcza tego typu usługi dla sektora finansowego, DORA może dotyczyć także jej działalności, z czego dziś nie wszyscy dostawcy ICT, zdają sobie jeszcze sprawę - mówi Katarzyna Armińska-Waszczyk z gdańskiej kancelarii Armińska Radcowie Prawni, która świadczy usługi audytu i wdrażania rozwiązań zgodnych z DORA.

Dalszy ciąg materiału pod wideo

Zewnętrzny dostawca usług ICT

Dostawcą usług ICT jest każda firma, która świadczy usługi technologiczne dla instytucji finansowych. Może to być dostawca chmury, supportu oprogramowania, systemów bezpieczeństwa czy infrastruktury IT.W zależności od rodzaju i znaczenia usług niektóre firmy mogą zostać uznane za kluczowych zewnętrznych dostawców usług ICT, co wiąże się z dodatkowymi wymogami regulacyjnymi. Wyznaczenie takiego kluczowego dostawcy odbywa się w specjalnej procedurze, szczegółowo uregulowanej w DORA.

Incydent związany z ICT

To każde zakłócenie, które zagraża bezpieczeństwu sieci i systemów informatycznych i negatywnie wpływa na dostępność, poufność, autentyczność lub integralność, lub na usługi świadczone przez organizację finansową. Przykładami taki incydentów są m.in. ataki ransomware, awarie serwerów, czy wycieki danych. Takie zakłócenie może być pojedynczym zdarzeniem lub serią powiązanych ze sobą zdarzeń, które nie były zaplanowane przez podmiot finansowy.

Ryzyko związane z ICT

DORA kładzie nacisk na zarządzanie ryzykiem związanym z ICT. Instytucje finansowe i ich dostawcy muszą identyfikować zagrożenia, oceniać ryzyko i wdrażać środki zapobiegawcze. Dotyczy to zarówno cyberataków, jak i awarii technologicznych. Zgodnie z rozporządzeniem DORA ryzyko związane z ICT to taka sytuacja związana z użytkowaniem sieci i systemów informatycznych, która - jeśli się urzeczywistni - może naruszyć bezpieczeństwo sieci i systemów informatycznych, narzędzia lub procesu zależnego od technologii, przez wywołanie negatywnych skutków w sferze cyfrowej lub fizycznej.

Co to oznacza dla dostawców ICT?

W szerszym zakresie DORA nie dotyczy tylko banków, ubezpieczycieli, instytucji płatniczych czy firm inwestycyjnych. Jak mówi ekspertka, Katarzyna Armińska-Waszczyk: - Jeśli firma dostarcza na przykład usługi wsparcia, usługi chmurowe, cyberbezpieczeństwo, również pośrednio może podlegać nowym regulacjom. Instytucja finansowa ma bowiem obowiązek zadbać, aby jej dostawcy usług ICT spełniali wymogi DORA, ponieważ same muszą być zgodne z przepisami tego rozporządzenia. Warto sprawdzić, czy twoja firma jest gotowa na te zmiany.

DORA - podsumowanie

Rozporządzenie DORA to krok w stronę większego bezpieczeństwa cyfrowego w Europie. Jeśli jesteś dostawcą usług ICT dla sektora finansowego, powinieneś wiedzieć, jakie środki powinieneś wdrożyć. Najważniejsze obszary, jakie reguluje to rozporządzenie to zarządzanie ryzykiem, testowanie systemów i spełnianie wymogów raportowania incydentów. Im szybciej dostosujesz swoją firmę do DORA, tym lepiej zabezpieczysz swoje interesy i zwiększysz konkurencyjność na rynku finansowym.

Autor: radca prawny, Katarzyna Armińska-Waszczyk

Polecamy: Wideoszkolenie: Procedura korzystania z AI i inne obowiązki pracodawców 2025

Powiązane
Unijne rozporządzenie DORA już obowiązuje. Które firmy muszą stosować nowe przepisy od 17 stycznia 2025 r.?
Unijne rozporządzenie DORA już obowiązuje. Które firmy muszą stosować nowe przepisy od 17 stycznia 2025 r.?
Rozporządzenie DORA od 2025 r. Skala zmian podobna do RODO. Duże kary dla firm za brak dostosowania
Rozporządzenie DORA od 2025 r. Skala zmian podobna do RODO. Duże kary dla firm za brak dostosowania
Pozostało coraz mniej czasu na dostosowanie przedsiębiorstw do regulacji NIS2, DORA i KSeF!
Pozostało coraz mniej czasu na dostosowanie przedsiębiorstw do regulacji NIS2, DORA i KSeF!
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Ryszard Cyba (morderca pracownika biura PiS) zwolniony z zakładu karnego - przebywa w szpitalu psychiatrycznym
01 kwi 2025

Ryszard Cyba skazany za zabójstwo Marka Rosiaka w biurze PiS w Łodzi w 2010 r. został zwolniony z zakładu karnego z uwagi na stan zdrowia. Nie oznacza to, że został uwolniony – poinformował rzecznik łódzkiego sądu okręgowego. Z więzienia Cyba trafił do DPS-u, a stamtąd do szpitala psychiatrycznego.
13 emerytura - terminy wypłat w 2025 roku
01 kwi 2025

We wtorek 1 kwietnia pierwszej grupie emerytów i rencistów jest przekazywane dodatkowe roczne świadczenie pieniężne, czyli tzw. trzynasta emerytura. To pierwsza transza tego świadczenia, w ramach którego 1,67 mld zł trafi tego dnia do 889 tys. osób. Co powinni wiedzieć uprawnieni do „trzynastki”, wyjaśnia ekspertka Zakładu Ubezpieczeń Społecznych Aneta Adamiak z Departamentu Świadczeń Emerytalno-Rentowych w centrali ZUS i apeluje do seniorów, którzy jeszcze nie mają kont bankowych, o ich założenie ze względów bezpieczeństwa.
Co ze starymi orzeczeniami po nowych wytycznych dla WZON i PZON? Kiedy zmiany dla osób niepełnosprawnych? Co z punkt 7 i 8?
02 kwi 2025

Jestem mamą dziecka, u którego w badaniach przesiewowych zdiagnozowano rdzeniowy zanik mięśni (SMA). Córka ma orzeczenie o niepełnosprawności wydane na 3 lata, prawomocne. Według nowych wytycznych wprowadzonych przez Ministerstwo Rodziny, Pracy i Polityki Społecznej choroba córki jest na liście chorób, które kwalifikują do orzeczenia o niepełnosprawności do ukończenia 16 lat oraz przyznania 7 i 8 punktu orzeczenia. W związku z tymi zmianami pojawia się pytanie: czy mogę złożyć ponownie wniosek o orzeczenie o niepełnosprawności, czy kolejne rozpatrzenie będzie możliwe dopiero pod koniec ustalonego okresu orzeczenia?
Znikomy stopień społecznej szkodliwości czynu. Czym skutkuje w prawie karnym?
01 kwi 2025

Przestępstwa są nagannymi, zabronionymi czynami. Ich popełnienie grozi określoną karą. Niemniej jednak sprawca nie zawsze będzie poddany karze. Co więcej, możliwa jest też sytuacja, w której takie zachowanie, choć wypełnia znamiona czynu określone w ustawie, to jednak w bardzo niewielkim stopniu narusza dobro chronione prawem i w konsekwencji nie będzie przestępstwem.

REKLAMA

Orzeczenia o niepełnosprawności w 2025 r. Jak długo są ważne? [FAQ]
01 kwi 2025

Kwestia ważności niektórych orzeczeń o stopniu niepełnosprawności rodzi szereg praktycznych wątpliwości. W artykule odpowiadamy na kilka najważniejszych pytań.
Jerzyki – naturalni pogromcy komarów. Czy te ptaki mogą skutecznie chronić nas przed owadami?
01 kwi 2025

Walka z uciążliwymi komarami to temat powracający każdego lata. Coraz więcej miast decyduje się na ekologiczne rozwiązania, które są zarówno skuteczne, jak i przyjazne dla środowiska. Jednym z nich jest wspieranie jerzyków – ptaków potrafiących zjeść tysiące owadów dziennie. Jak wygląda akcja rozdawania budek lęgowych dla jerzyków i dlaczego warto wziąć w niej udział?
Masz wadę wzroku i prawo jazdy? Możesz dostać areszt, 1500 zł grzywny a nawet zakaz prowadzenia pojazdów jeśli nie stosujesz się do kodu na dokumencie
01 kwi 2025

Jeśli masz wadę wzroku i jeździsz samochodem sprawdź swoje prawo jazdy. Chodzi o rewers i specjalne kody. Okazuje się, że na kierowców nakładane są wysokie grzywny a nawet odbierane są uprawnienia czy stosowany jest areszt, za to, że nie stosują się do wytycznych na dokumencie uprawniającym do poruszania się samochodem czy innym pojazdem mechanicznym.
MOPS czy ZUS? Świadczenia dla osób z niepełnosprawnościami w 2025 r. [TABELA]
31 mar 2025

Jakie świadczenia dla osób z niepełnosprawnościami wypłaca Zakład Ubezpieczeń Społecznych, a które ośrodki pomocy społecznej? Prezentujemy proste zestawienie najważniejszych świadczeń w 2025 r.

REKLAMA

Renta tytoniowa – czym jest, kto może się o nią ubiegać, na jakiej podstawie prawnej?
01 kwi 2025

Renta tytoniowa to pojęcie, które choć w powszechnym użyciu nie funkcjonuje, coraz częściej pojawia się w kontekście dyskusji o świadczeniach z tytułu niezdolności do pracy. Choć alkoholizm jest uznawany za jedno z najpoważniejszych uzależnień, jego konsekwencje zdrowotne nie są jedynymi powodami przyznawania rent. W artykule wyjaśniamy, czym jest renta tytoniowa, kto może się o nią ubiegać oraz na jakiej podstawie prawnej można starać się o to świadczenie.
Składka zdrowotna: 777 zł płaci pracownik a 315 zł przedsiębiorca (obaj zarabiają po 10 tys. zł miesięcznie). Czy to sprawiedliwe i zgodne z Konstytucją?
01 kwi 2025

Temat składki zdrowotnej był przez kilka ostatnich lat poruszany wielokrotnie. Porównując różne poziomy wynagrodzenia (co znajdą Państwo w dalszej części artykułu) nie da się nie zauważyć, że pracownicy zatrudnieni na umowę o pracę płacą co do zasady składkę zdrowotną w wyższej wysokości niż przedsiębiorcy. W tym artykule przyjrzymy się, dlaczego tak się dzieje, czy jest to obiektywnie sprawiedliwe i czy jest to zgodne z zasadą równości wobec prawa. Bo przecież dostęp do publicznej służby zdrowia mamy taki sam. A jakość tego leczenia nie zależy od wysokości składki.

REKLAMA